Dernière mise à jour 2/05/2014

5. Sécurité : vérification avant le paiement

5.1 Signature SHA-IN

Cette technique se fonde sur le principe suivant : le serveur du marchand crée une chaîne de caractères unique, hachée par l’algorithme SHA, pour chaque commande. Le résultat de ce hachage nous est ensuite envoyé dans les champs masqués de la page de commande du marchand. Notre système reconstruit cette signature pour vérifier l’intégrité des informations de commande qui nous sont envoyées dans les champs masqués.

Nous proposons SHA-1, SHA-256 et SHA-512 comme méthodes de vérification des données. Pour chaque commande, votre serveur génère une chaîne de caractères unique (appelée un condensé), hachée avec l’algorithme SHA de votre choix.

5.1.1 Création de la chaîne

La chaîne est créée en concaténant les valeurs des champs envoyés avec la commande (triés par ordre alphabétique, dans le format ‘PARAMETRE=valeur’), séparés par une clé. Cette clé est définie dans les Informations Techniques du commerçant, sous l’onglet “Contrôle de données et d’Origine”, section “Contrôles pour e-Commerce”.

Veuillez observer que ces valeurs sont sensibles à la case lors de leur compilation pour former la chaîne avant le hachage !

Important

  • Tous les paramètres que vous envoyez (et qui apparaissent dans la liste SHA-IN params), seront inclus dans la chaîne.
  • Tous les noms de paramètres doivent être en MAJUSCULES (pour éviter toute confusion)
  • Tous les paramètres doivent être classés dans l'ordre alphabétique
  • Les paramètres qui n'ont pas de valeur ne doivent PAS être inclus dans la chaîne
  • Notez que certains algorithmes de tri placent les caractères spéciaux devant la première lettre de l’alphabet, d’autres à la fin. En cas de doute, veuillez respecter l’ordre tel qu’indiqué dans la liste SHA.
  • Pour plus de sécurité, nous vous demandons d'utiliser des mots de passe SHA différents pour TEST et PROD.

Lorsque vous hachez la chaîne compilée avec l’algorithme SHA, le système générera un condensé hexadécimal. La longueur de ce condensé SHA est de 40 caractères pour le SHA-1, de 64 pour le SHA-256 et de 128 pour le SHA-512. Ce résultat devrait être envoyé à notre système dans votre commande, en utilisant le champ « SHASIGN ».

Notre système recomposera la chaîne SHA en fonction des paramètres reçus et comparera le condensé du commerçant avec le condensé que nous aurons généré. Si le résultat n’est pas identique, la commande sera refusée. Cette vérification garantit l’exactitude et l’intégrité des données de la commande.

Vous pouvez tester votre SHASign ici.

Exemple d'un calcul SHA-1-IN élémentaire

Paramètres (dans l’ordre alphabétique) :

AMOUNT=1500 (15.00 x100)
CURRENCY=EUR
LANGUAGE=en_US
ORDERID=1234
PSPID=MyPSPID

Clé SHA :
Mysecretsig1875!?

Chaîne à hacher :
AMOUNT=1500Mysecretsig1875!?CURRENCY=EURMysecretsig1875!?LANGUAGE=en_USMysecretsig1875!?
ORDERID=1234Mysecretsig1875!?PSPID=MyPSPIDMysecretsig1875!?

Condensé obtenu (SHA-1) :
F4CC376CD7A834D997B91598FA747825A238BE0A

Si le SHASign envoyé dans les champs cachés HTML de la transaction ne correspond pas au SHASIGN assemblé de notre côté avec les détails de la commande et la chaîne supplémentaire (mot de passe/phrase secrète) entrée dans le champ „Signature SHA-1-IN“ dans la section „Contrôles pour e-Commerce“ de l’onglet „Contrôle des données et d'origine“ de la page Information Technique, vous recevrez le message d’erreur « unknown order/1/s».

Si rien n’est envoyé dans le champ « SHASIGN » des champs cachés HTML, même si une chaîne supplémentaire (mot de passe/phrase secrète) a été entrée dans le champ „Signature SHA-IN“ dans la section „Contrôles pour e-Commerce“ de l’onglet „Contrôle des données et d'origine“ de la page Information Technique – indiquant que vous voulez utiliser une signature SHA avec chaque transaction – vous recevrez un message d’erreur « unknown order/0/s».

Ce qui suit est le champ caché utilisé pour transmettre la signature SHA à notre système :

Champ Usage
SHASIGN Chaîne de caractères unique pour la validation des données de la commande.

5.2 Referrer (Référant)

Notre système vérifie l’origine de la demande de paiement, c.-à-d. l’URL d’où provient la commande. On appelle cet URL le « référant ». 

Le marchand indique le référant/l’URL de la page contenant le formulaire de commande avec les champs masqués dans le champ URL sous l’onglet « Contrôle de données et d’origine », dans la rubrique « Contrôles pour e-Commerce » de la page d’information technique de son compte.

Important

  • Le/les URL(s) doi(ven)t toujours commencer par http:// ou https://
  • Vous pouvez saisir l’URL entier ou simplement le nom de domaine ; dans ce second cas, l’ensemble des sous-répertoires et des pages de ce domaine seront acceptés
  • Le marchand peut saisir plusieurs URL s’il dispose de plusieurs domaines, par ex. « http://www.mysite.com;http://www.mysite.net;http://www.secure.mysite.com » Les URL doivent être séparés par un point-virgule (sans espaces avant ou après le point-virgule)
  • Lorsque vous effectuez une transaction test à partir de votre page test, veillez à saisir l’URL de notre site en guise de référant sans quoi un message d’erreur apparaîtra.
Although the referrer allows our system to identify the origin of an order, it does not guarantee the integrity of the data. Therefore, our system requires the use of an SHA signature.

Des erreurs liées au référant sont possibles, par ex., « unknown order/1/r » et « unknown order/0/r ». Veuillez vous reporter à Erreurs possibles pour de plus amples informations sur ces erreurs.

Ce site utilise les cookies pour être capable de vous donner la meilleure expérience utilisateur. Si vous ne souhaitez pas accepter ces cookies, nous vous permettons de modifier les paramètres des cookies. Cliquez sur «Accepter» pour permettre tous les cookies de ce site.

Paramètres des cookies

Introduction

Fonctionnels

Les cookies fonctionnels assurent le bon fonctionnement du site et ne peuvent pas être désactivés.

Optimisés

Les cookies d'optimisation nous permettent d'analyser l'utilisation du site afin de l'améliorer.
C'est le niveau par défaut.

Personnalisés

Les cookies de personnalisation, utilisés pour les médias sociaux et la personnalisation avancée, nous permettent d'afficher vos informations en lien avec votre société.


Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée

Exemple de fonctionnalité non autorisée

  • Enregistrement des données personnelles des utilisateurs
  • Suivi anonyme via Google Analytics
  • Suivi à des fins de remarketing

Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée
  • Suivi anonyme via Google Analytics

Exemple de fonctionnalité non autorisée

  • Enregistrement des données personnelles des utilisateurs
  • Suivi à des fins de remarketing

Exemple de fonctionnalité autorisée

  • Mémorisation du pays préféré
  • Mémorisation de la langue préférée
  • Suivi anonyme via Google Analytics
  • Affichage de contenus en fonction de vos intérêts
  • Affichage de publicités en fonction de vos intérêts
  • Suivi à des fins de remarketing

Exemple de fonctionnalité non autorisée

  • Enregistrement de données personnelles